Соціальна інженерія – це збір даних про людину/організацію з подальшим психологічним маніпулюванням людиною. Все заради того, щоб він здійснив ті чи інші дії. Наприклад, сказав 3 цифри з обороту картки, взяв кредит і переказав шахраям, запустив програму на робочому комп’ютері або просто переказав гроші з рахунку організації на рахунок шахраїв.
Техніки
Тож які ж техніки соціальної інженерії існують? Детальніше на сайті Awareness training.
Претекстинг
З цим методом знайомі практично всі – ведення за заздалегідь розробленим сценарієм при особистому взаємодії. Наприклад, вам дзвонять із “служби безпеки банку” і ведуть вас за заздалегідь підготовленим сценарієм. У результаті ви повинні або зробити необхідну дію, або розкрити необхідну інформацію.
Для таких атак характерна підготовка, коли дізнаються ім’я людини, посаду, робочі проекти і т.д. Все це необхідно для формування довіри.
Фішинг
Як правило, фішинг працює через електронну пошту. Вам надходить листа, наприклад, знову з банку. Всередині листа міститься посилання, яким треба пройти і оплатити штраф або підтвердити свої дані. Сам лист виглядає дуже правдоподібним завдяки логотипам та своєму тону. Далі ви вводите конфіденційні дані (логіни, паролі тощо) і вони витікають до зловмисників.
Троянський кінь
Тут працюють на цікавості чи бажанні халяви. У тому ж електронному листі може бути вкладення, наприклад, з безкоштовною версією популярної програми. Далі людина встановлює програмне забезпечення, в якому зашитий вірус. А потім ми отримуємо або шифрування файлів, або банери з порнографією весь кран, або тихий збір даних з комп’ютера і т.п.
Дорожнє яблуко
Це варіант троянського коня, тільки тут робота йде не електронною поштою, а через фізичний носій. Людина може йти з паркування до офісу та знайти брендовану флешку, а далі все як у схемі з троянським конем: зараження та повний набір розваг.
Кві про кво
Хакер дзвонить за випадковим номером в компанію, представляється співробітником техпідтримки і ставить питання, чи є якісь технічні проблеми у жертви. Якщо є (а швидше за все вони є), починається, умовно кажучи, претекстинг: співробітник робить потрібні дії, а зловмисник встановлює шкідливе ПЗ.
Зворотня соціальна інженерія
Тут іде робота від зворотного – жертву змушують самій зателефонувати зловмиснику та попросити про допомогу.
Наприклад:
- спочатку жертві на пошту надходить лист із розряду «якщо виникли неполадки з комп’ютером, зателефонуйте за таким номером»;
- далі створюється проблема, коли зникає інтернет;
- потім жертва сама звертається до зловмисників.
Хто і як трапляється на соціальну інженерію
Ви можете сказати: «Ну що за дитячий садок? Навіщо це нам?». Але ми рекомендуємо подивитись на статистику нижче. Вона річ уперта.
Соціальна інженерія у динаміці – люди все частіше трапляються на хитрощі шахраїв
Найбільш робоча схема зараз – фішинг. І з переходом на посилання, введенням своїх облікових даних на підробленому сайті та запуском підозрілого файлу все зрозуміло. Але хто вступає у подальше листування та комунікацію з хакерами?
Так, за дослідженнями Positive Technologies у 88% випадків у листування вступають звичайні співробітники компанії: бухгалтери, юристи, менеджери тощо. При цьому 25% їх – керівники відділів. А це вже середній менеджмент.
